image

Nieuwe browser-aanval onthult surfgedrag aan websites

woensdag 28 oktober 2015, 16:31 door Redactie, 9 reacties

Een onderzoekster heeft een nieuwe browser-aanval gedemonstreerd waardoor websites het surfgedrag van bezoekers kunnen achterhalen, ook als de surfgeschiedenis eerder door de gebruiker is verwijderd. De aanval maakt gebruik van HTTP Strict Transport Security (HTST) en Content Security Policy (CSP).

HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. CSP is een maatregel die cross-site scripting moet voorkomen. De aanval werd dit weekend tijdens de ToorCon conferentie door onderzoekster Yan Zhu gedemonstreerd (pdf).

Aanval

Om de aanval uit te voeren moet een kwaadaardige pagina afbeeldingen van een HSTS-website embedden. De browser zal echter proberen om de afbeeldingen via HTTP te laden. Vervolgens wordt CSP gebruikt om te voorkomen dat HSTS ervoor zorgt dat ze via HTTPS worden geladen. In het geval CSP een afbeelding blokkeert veroorzaakt dit een foutmelding. Aan de hand van de tijd dat het duurt voordat de foutmelding verschijnt kan worden bepaald of de internetgebruiker de HSTS-website waarvan de afbeelding werd geprobeerd te laden eerder heeft bezocht.

Naast de uitleg op haar eigen weblog heeft Yan Zhu ook een demonstratiepagina online gezet die alleen werkt met Chrome en Firefox. Daarnaast moet de HTTPS Everywhere browserplug-in zijn uitgeschakeld. Tevens kunnen alleen eerder bezochte websites worden achterhaald die van HSTS gebruik maken. Op Hacker News wordt geopperd dat websites de aanval kunnen voorkomen door hun domein aan de HSTS preload list te laten toevoegen. In dit geval is de domeinnaam hardcoded in de browser opgenomen zodat die alleen via HTTPS wordt bezocht. Een medewerker van Mozilla noemt het op Reddit een "slimme aanval" en stelt dat de browserontwikkelaar naar een oplossing zoekt.

Image

Reacties (9)
28-10-2015, 17:35 door MeowSec - Bijgewerkt: 28-10-2015, 17:36
die demonstratiepagina werkt zeer goed.

99,7% van de sites die daar staan heb ik niet/nooit bezocht. met de https plugin aan laat hij heel veel sites zien. en gokken oh ja je heb vast een keer ing.nl bezocht of rabobank.nl. Ing heb ik al iets van 2 jaar niet meer sinds ik ben overgestapt op ASN en rabo nooit gehad.
28-10-2015, 17:54 door D0rus
Die demo is niet erg betrouwbaar. Tal van sites die ik afentoe bezoek staan bij niet bezocht, bij wel bezocht staat alleen vine.co consequent, terwijl ik die (zover ik weet), nooit bezocht heb.

Als ik de pagina een paar keer herlaad komen er telkens andere resultaten uit, dus een erg betrouwbare fingerprint is het ook niet. Ik dacht eerst dat door de controle uit te voeren, die sites in je cache terecht komen zodat ze daarna altijd bij bezocht blijven, maar als ik nog een paar keer herlaad wordt de lijst weer korter.

Een site uit de lijst die ik expres bezocht hebt staat vervolgens wel bij 'bezocht', maar na een uurtje is ook die weer weg.
28-10-2015, 20:11 door Anoniem
Firefox gebruikers kunnen zich nog redelijk beschermen.
Als ik met Firefox en HTTPS Everywhere uit, naar de demo site van het MIT ga, dan zie ik dus,
zoals te verwachten was, NIETS.
Uiteraard heb ik eerst een tig aantal HSTS sites bezocht.

"The HTTP Public Key Pinning attack works only in Chrome currently."

Google Chrome gebruikers zijn dus dubbel de pineut, maar deze geven toch al niets om hun privacy,
waarschijnlijk de reden waarom Google er voorlopig ook niets aan gaat doen. (Lees de artikelen
waar hierboven naar verwezen wordt.)
28-10-2015, 22:44 door Anoniem
Torbrowser

Hoewel Torbrowser voorzien is van NoScript en HTTPS Everywhere, kan deze tactiek werken wanneer javascript wordt toegestaan en HTTPS Everywhere wordt uitgeschakeld er er websites zijn bezocht die gebruikmaken van de HSTS techniek/lijst.

Echter, wie schakelt er HTTPS Everywhere uit?
Zal weinig voorkomen.

Evengoed wordt die historie kennelijk gewist met het simpel vernieuwen/cleanen van de browser door een nieuwe identity te kiezen onder Torbutton.
Opnieuw bezoeken van die pagina met opnieuw toestaan van javascripts en uitschakelen van HTTPS Everywhere leert dat zij de bezochte HSTS websites niet meer weergeeft (al gaf het script al niet alles weer).

Torbrowser
simpel en doeltreffend

Wen er nu alvast aan, voor als alle plannetjes van big brother verder worden doorgedrukt

https://www.torproject.org/
28-10-2015, 22:53 door Anoniem
@D0rus Vine.co is van Twitter, dus als je filmpjes op Twitter bent tegengekomen (al dan niet embedded in een website van derden) dan is de kans groot dat je de site inderdaad "bezocht" hebt.

@Anoniem 20:11 Hoewel de standaardinstellingen Google veel laten weten, kun je met het aanpassen van instellingen Chrome redelijk privacyvriendelijk te maken. (Overigens gebruik ik meestal Firefox, want deze browser biedt net wat meer vrijheid met de configuratie en de extensies.)
29-10-2015, 07:05 door karma4
Niet te vergeten: met keystroke dynamics kun je al profiling (persoonsherkenning) doen via de browser. Je hebt er niets speciaals voor nodig. https://en.wikipedia.org/wiki/Keystroke_dynamics
29-10-2015, 09:49 door Anoniem
Yan Zu heeft dit gepresenteerd tijdens ToorCon 2015. Haar presentatie staat op Youtube: https://www.youtube.com/watch?v=kk2GkZv6Wjs
29-10-2015, 11:55 door Anoniem
Door karma4: Niet te vergeten: met keystroke dynamics kun je al profiling (persoonsherkenning) doen via de browser. Je hebt er niets speciaals voor nodig. https://en.wikipedia.org/wiki/Keystroke_dynamics

https://chrome.google.com/webstore/detail/keyboard-privacy/aoeboeflhhnobfjkafamelopfeojdohk

Helaas is hij er (nog steeds) niet voor FireFox.

On Topic: Met RequestPolicy actief had ik 100% van de sites bezocht. Met Request Policy Allow All, had ik 100% niet bezocht, ook met HTTPS everywhere disabled. Ben dus nog niet echt onder de indruk ;-)
29-10-2015, 19:38 door Anoniem
@Anoniem 20:11 Hoewel de standaardinstellingen Google veel laten weten, kun je met het aanpassen van instellingen Chrome redelijk privacyvriendelijk te maken. (Overigens gebruik ik meestal Firefox, want deze browser biedt net wat meer vrijheid met de configuratie en de extensies.)

Geen enkele instelling in Google Chrome geeft echte privacy.
U heeft nog nooit van Edward Snowden gehoord of u heeft het nog steeds niet begrepen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.